25/10/2020
Pour tous ceux qui souhaitent utiliser EBIOS Risk Manager pour mener un PIA (Privacy Impact Assessment, communément, ou analyse d’impact relative à la protection des données – AIPD, dans le cadre spécifique de l’article 35 du RGPD), voici une infographie qui synthétise la démarche :
D’une manière générale, la sécurité de l’information / cybersécurité et la protection de la vie privée traitent toutes deux de protection des données.
L’objectif diffère : en sécurité de l’information, le but est de protéger l’organisme, alors qu’en protection de la vie privée, le but est de protéger les personnes.
Mais la manière de gérer les risques est parfaitement compatible !
Pour mener un PIA avec EBIOS Risk Manager, il suffit ainsi de :
Toutes les informations requises dans un PIA se retrouvent toutes dans l’étude :
01/06/2020
06/04/2020
Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD.
Il est diffusé par la CNIL : Télécharger
04/04/2020
Cette norme internationale définit le vocabulaire et les principes qui doivent être respectés par toute approche spécifique à la protection de la vie privée.
Cette norme internationale définit les principes qui doivent être respectés par toute approche de gestion des risques spécifique à la protection de la vie privée.
01/04/2020
Il faut différencier la conformité aux obligations et les réponses apportées par l’organisme, de la démarche d’étude des risques décrites dans un PIA (Privacy Impact Assessment, ou analyse d’impact relative à la protection des données dans le RGPD).
L’analyse de la conformité aux obligations provenant de l’application de la législation (en particulier du RGPD et de la loi Informatique et libertés) peut ainsi être incluse dans l’atelier 1 d’EBIOS Risk Manager.
Pour ce faire, il ne faut pas mettre le RGPD dans son ensemble dans le socle de sécurité car il ne s’agit pas d’une liste d’exigences.
Par contre :
– les « normes simplifiées » de la CNIL, ou autres référentiels précis publiés par la CNIL ou l’EDPB (les CNILs européennes), peuvent utilement être ajoutées au socle (qui n’est plus que « de sécurité » dans ce cas), car il s’agit d’obligations ou de recommandations précises ;
– le « Socle pour la protection de la vie privée » du Club EBIOS peut être employé de la même manière.
L’étude des risques liés aux données à caractère personnel peut ensuite être menée par scénarios, en considérant les impacts sur les droits et libertés des personnes concernées, en plus ou à la place de la cybersécurité.
NB : EBIOS Risk Manager est une application d’EBIOS à la cybersécurité, dont l’objectif est de protéger les organismes contre les risques liés au numérique, alors que la protection de la vie privée a pour objectif de protéger les personnes concernées contre les mauvais usages et violations de leurs données, etc. Les deux approches sont complémentaires.
10/06/2019
Le document suivant peut être utilisé lors de la détermination du socle de l’atelier 1 d’EBIOS Risk Manager dans le cas où l’objet de l’étude est un traitement de données à caractère personnel :
> Télécharger
Il constitue une déclaration d’applicabilité relative aux principes fondamentaux liés à la protection de la vie privée.
La suite de l’étude permet de satisfaire les obligations du RGPD en matière de sécurité (cf. art. 32) si vous appréciez les impacts sur les personnes concernées en plus de ceux sur l’organisme.
Vous pouvez ainsi utiliser EBIOS Risk Manager pour mener un PIA (cf. art. 35).
26/02/2018
Les guides PIA* de la CNIL ont été révisés pour outiller le Règlement général sur la protection des données (RGPD).
La démarche méthodologique est une application spécifique de la boîte à outils EBIOS à la protection de la vie privée.
Elle permet de bâtir et de démontrer la conformité au RGPD pour un traitement de données à caractère personnel.
Les guides (la méthode, les modèles, et les bases de connaissances) sont complétés par un logiciel libre, des études de cas, des lignes directrices, une foire aux questions, etc.
Sur le site de la CNIL : L’analyse d’impact relative à la protection des données (AIPD)
17/03/2017
Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée :
ClubEBIOS-EtudeDeCas-Geolocalisation-2017-03-17-Approuve
> Télécharger
29/11/2011
Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée :
ClubEBIOS-EtudeDeCas-MedecineTravail-2011-11-29
> Télécharger
La plaquette suivante synthétise les points essentiels de l’étude de cas :
ClubEBIOS-EtudeDeCas-MedecineTravail-Plaquette-2011-09-27
> Télécharger